Versicherungen: AI Act, Data Act & DSGVO-Pflichten
Versicherungen sind nach dem AI Act HOCHRISKANT bei KI-gestützter Tarifierung/Risikobewertung für natürliche Personen (Anhang III Nr. 5 — Kfz, Haftpflicht, Leben, Krankheit, Unfall). Pflichten: volles Art. 8–15-Pflichtenbündel spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026), mit Schwerpunkt Daten-Governance/Bias (Art. 10), menschlicher Aufsicht (Art. 14). Überlagert zwingend: AGG (Diskriminierungsverbot), unionsrechtliche Gleichbehandlung der Geschlechter (Test-Achats EuGH — keine geschlechtsspezifischen Prämien), VAG (Versicherungsaufsichtsgesetz) und BaFin-Aufsicht (§ 81 VAG), DSGVO (Gesundheitsdaten Art. 9 — besondere Kategorie). Proxy-Variablen, die mittelbar diskriminieren, sind unzulässig. B2B-/Gewerbeversicherung oft nicht hochriskant. Schadenregulierungs-KI, Betrugserkennung meist begrenzt/minimal. Aufsichtlich: BaFin (versicherungsrechtlich) und Marktüberwachungsbehörden (AI Act).
Steve Baka
Hochrisiko nach Anhang III Nr. 5
Versicherungen sind hochriskant bei KI-gestützter Tarifierung/Risikobewertung für natürliche Personen (Anhang III Nr. 5) — Kfz-Versicherung (Telematik-Tarife, Fahrstil-Bewertung), Haftpflicht, Lebens-/Rentenversicherung (Gesundheits-/Lebenserwartungs-Scoring), Krankenversicherung (Gesundheitsdaten), Unfallversicherung. Pflichten: volles Art. 8–15-Pflichtenbündel spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026). Plus: Sozialleistungen (Anhang III Nr. 5), HR-Recruiting (Anhang III Nr. 4). Andere KI: Schadenregulierung, Betrugserkennung (meist begrenzt/minimal — defensive), Betrug-/Kunden-Score ohne Tarifierungsbezug (begrenzt). B2B-/Gewerbeversicherung oft nicht hochriskant (Anhang III Nr. 5 erfasst natürliche Personen). Eine genaue Klassifizierung je Produkt/Verfahren ist entscheidend — Konservativ bei Personengesellschaften/freien Berufen (natürliche Personen).
Praxis: AGG, Test-Achats, BaFin
Praktisch: (1) Risikoklassifizierung aller KI-Anwendungen (Tarifierung, Schadenregulierung, Betrug, HR); (2) bei Hochrisiko: volles Art. 8–15-Pflichtenbündel mit Schwerpunkt Daten-Governance/Bias (Art. 10 — Untergruppen-Tests, Proxy-Variablen-Prüfung), menschliche Aufsicht (Art. 14 — Tarifprüfer, Widerspruchsrecht), Aufzeichnung (Art. 12 — Tarif-Begründungen); (3) AGG — Diskriminierungsverbot (Geschlecht, Alter, Ethnie, Religion, Behinderung, sexuelle Identität); (4) Test-Achats EuGH — unionsrechtliche Gleichbehandlung (geschlechtsspezifische Prämien verboten); (5) VAG und BaFin — Versicherungsaufsicht (§ 81 VAG, Kalkulationspflichten), Outsourcing-Recht bei KI-/Cloud-Diensten; (6) DSGVO — Gesundheitsdaten Art. 9 (besondere Kategorie, Verarbeitung nur unter engen Ausnahmen), Verhaltens-/Telematikdaten (Personenbezogen), automatisierte Entscheidungen Art. 22 (Versicherungsablehnung). Aufsichtlich: BaFin (versicherungsrechtlich — Erwartungen an algorithmische Entscheidungen) und Marktüberwachungsbehörden (AI Act). Telematik-Tarife: Transparenz, freiwillige Teilnahme, keine Diskriminierung. Neue KI-basierte Tarifmodelle vor Markteinführung abstimmen.
Grenzen: Test-Achats und Versicherungsethik
Die Grenze der Versicherungs-KI ist die unionsrechtliche Gleichbehandlung (Test-Achats EuGH): geschlechtsspezifische Prämien sind verboten. Plus AGG (keine Diskriminierung nach Alter/Ethnie/Religion/Behinderung/sexueller Identität). Telematik-Tarife (Fahrstil-basierte Prämie) dürfen nicht mittelbar diskriminieren (z. B. Berufspendler vs. Teilzeit, junge vs. alte Fahrer) — Proxy-Variablen-Prüfung. Gesundheitsdaten (Kranken-/Lebensversicherung) unterliegen DSGVO Art. 9 (besondere Kategorie) — keine heimliche Ausforschung über Wearables/Social Media. Verbraucherschutz: Transparenz über Tarif-Faktoren, Widerspruchsrecht, BaFin-Aufsicht. Neue KI-basierte Tarifmodelle sind vor Markteinführung aufsichtlich abzustimmen. Versicherungsethik: Versicherungsschutz ist wirtschaftlich existentiell; risikobasierte Preise dürfen nicht zu sozialer Segmentation oder Ausschluss vulnerabler Gruppen führen. Eine verantwortungsvolle Versicherungs-KI respektiert Test-Achats, AGG, DSGVO und den sozialen Schutzauftrag — diskriminierungsfreie, transparente Tarifierung ist Standard guter Praxis und BaFin-Erwartung.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Datenschutz-Aufsichten.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesdatenschutzbeauftragter Deutschland.
Rat für Künstliche Intelligenz (Österreich)Bundesministerium AT. KI-Politik und Beratung in Österreich.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde.
Häufige Fragen
Welche Versicherungs-KI ist hochriskant?
Anhang III Nr. 5: Tarifierung/Risikobewertung natürlicher Personen (Kfz, Haftpflicht, Leben, Krankheit, Unfall). B2B-/Gewerbe oft nicht. Schadenregulierung/Betrug meist begrenzt/minimal.
Darf der Tarif geschlechtsspezifisch sein?
Nein. Test-Achats EuGH verbietet geschlechtsspezifische Prämien (unionsrechtliche Gleichbehandlung). Plus AGG (keine Diskriminierung nach Alter/Ethnie/Behinderung/Religion).
Was gilt bei Telematik-Tarifen?
Transparenz über Daten, freiwillige Teilnahme, keine Diskriminierung. BaFin-Aufsicht. Proxy-Variablen-Prüfung, Bias-Tests (Art. 10). Neue Tarife vor Markteinführung abstimmen.
KI-Compliance für Versicherungen?
Wenn du im Sektor Versicherungen KI-Systeme einführst, entwickle ich mit dir die passende Strategie für AI Act, Data Act und DSGVO.